1 Indledning
Evne af net-og informationssikkerhed i det 21. århundrede omfattende nationale styrke, økonomisk konkurrenceevne og levedygtighed af symbolet for den fremtidige internationale konkurrence, "killer". På nuværende tidspunkt er Kina fremskynde processen med nationale økonomiske og sociale oplysninger, må en sikker og pålidelig telecommunications infrastruktur network platform for forskellige applikationer baseret på informationssikkerhed.
Med udviklingen og udviklingen af netværksteknologi, har IP Bredbånd Metropolitan Area Network bredbåndsnet bliver udviklingen retning af forskellige informationsteknologiske applikationer vil være baseret på IP-teknologi. Men bredbånd den nuværende IP Metropolitan Area network forvaltning og sikring applikationer i mange problemer, såsom: adgang til netbrugerne kan ikke effektivt identificere den juridiske status, ikke på brugerens personlige oplysninger for at opnå effektiv beskyttelse; kan ikke effektivt løse problemerne med anti-afvisning.
Disse problemer førte ene side bredbånd IP MAN kan kontrollere, styre, ledelse er dårlig, og den anden side, direkte påvirker sikkerheden af de nationale oplysninger vedrørende sikkerheden i landet.
Den væsentligste grund, der fører til disse problemer skyldes den nuværende bredbånd IP MAN med en "brugernavn + password" autentificering metode kan kun nå de primære, og enkle, sikkerhed er ikke nok (såsom lethed kombineret med misbrug,); brugernavn og Der er ingen fast adgang linjer tilsvarende sammenhæng giver brugerne mulighed for at få adgang svært at finde, svære at styre brugerrettigheder og så videre.
Derfor for effektivt at løse de nuværende IP bredbånd storbyområde netstyring og sikkerhedsanlæg i de problemer, skal vi først løse brugergodkendelse, at brugeren tilladelse ledelse og brugerorientering og andre spørgsmål, oprette et betroet netværk miljø.
I de seneste år modtog informationssikkerhed teknologi omfattende opmærksomhed, og har gjort betydelige fremskridt, navnlig er baseret på public key infrastruktur (PKI) og Privilege Infrastruktur (PMI) af tillid og autoritet af intelligent teknologi gennembrud har været store anvendes i e-forvaltning, e-handel system.
Derfor vil denne papir undersøge, hvordan to anvende, ifølge on PKI / PMI trust og myndighed intelligent IP-teknologi til at create en pålidelig miljø for broadband hovedstadsområdet area network, hvordan at digital certificate authentication, management af informationssikkerhed teknologi for bredbånd IP MAN Operations Management, til at bygge en "kan styre, administrere, drive," den carrier-grade IP bredbånd storbyområde netværk, for en række oplysninger til at give en sikker og pålidelig anvendelse af grundlæggende telekommunikationsnet platform.
Dette er en helt ny idé, et nyt forsøg, IP MAN end andre forvaltningsmetoder mere sikkerhed og fleksibilitet.
2 PKI / PMI Oversigt
2,1 PKI
PKI er en national informationssikkerhed infrastruktur (NISI) De vigtig komponent i en åben nøgleteknologi-baseret, datafortrolighed, integritet, autentificering og online adfærd kan ikke nægtes af hensyn til sikkerheden, for net-applikationer (såsom browsing enheder, e-mail) til at give pålidelige sikkerhedstjenester. På nationalt informationssikkerhed infrastruktur, certifikat PKI system med dobbelt nøgle, som understøtter RSA asymmetrisk algoritme og elliptisk kurve offentlige nøgle (ECC) af to algoritmer, symmetrisk ciphers støttede Office i den stat, Encryption Management Kommissionen udpeget kryptografiske algoritme. Public Key Infrastructure betroede omfatter system-og nøglehåndteringssystemet.
De vigtigste opgaver tillid service system for hele systemet af offentlige nøgle-baseret PKI digitale certifikater (PKC) certificering mekanisme autentifikation af enheder service, så som den eneste i forbindelse med hele systemet til at bestemme den sande identitet af den enhed, med henblik på at etablere hele systemet konsekvent i tillid.
Nøglehåndteringssystemerne giver nøglen til systemet primært er ansvarlig for forvaltningen af de tjenester, til levering af beredskabet tillade særlige tilfælde nøglegendannelse funktioner.
2,2 PMI
PMI er en vigtig del af NISI Formålet er at give autoriserede brugere og anvendelse service management, er ansvarlig for anvendelsen systemer og applikationer til godkendte tjenesteydelser i forbindelse med forvaltningen af brugernes identitet at give tilladelse til anvendelse af kortlægning funktion.
PMI ressourceforvaltning som en central egenskab baseret certifikater (AC) i godkendelsen, samt adgang kontrolmekanismer, vil blive samlet kontrol over adgang til ressourcer af dertil autoriserede institutioner til at forvalte denne ressource ejerne til at kontrollere adgangen. Sammenlignet med PKI, den væsentligste forskel mellem de to er: PKI, at brugere, der, mens PMI for at bevise, hvilke tilladelser brugeren kan gøre, og PMI behovet for at give PKI autentificeringstjenester.
3 IP Bredbånd Metropolitan Area Network Security Solutions
3,1 IP Bredbånd Metropolitan Area Network Application Platform Security Architecture
IP Bredbånd Metropolitan Area Network Security Application Platform er rammen for den traditionelle IP over bredbånd storbyområde netværk, baseret PKI / PMI net-og informationssikkerhed teknologi, integreret virksomhedsledelse som det centrale, at opbygge en komplet og samlet kan kontrolleres, forvaltes, kan betjenes bredbånd IP MAN.
Logisk til bredbånd IP MAN sikkerhed ansøgning platform består af uden at indersiden er inddelt i tre niveauer, nemlig adgang authentication lag, sammenlægning lag og kerne lag, vist i figur 1.
Figur 1 tre-lags arkitektur
* Adgang Authentication Layer: færdiggørelse af IP bredbåndsadgang brugere og netværksudstyr certificering, er der et netværk af betroede domæne (af logget og netværket udstyr bestående af et netværk område). Om ulovlig netudstyr og IP bredbåndsbrugere til automatisk at blokere for og begrænsninger af systemet for at forhindre ulovlig adgang, sikkerhed sikker og pålidelig netværk system er realiseringen af bredbånd IP MAN kan styre, lede, drive grundlag.
* Tandem lag: en færdiggørelse af forskellige business streams tandem funktion og den anden side, at gennem indsættelse af PKI, PMI system, indse brugeren identitet autentificering, tillid, autorisation og autentifikation i netelementer og ledelse, integrerede virksomhed forvaltning. Virkeliggørelsen af bredbånd IP MAN kan styre, lede, drive eller ej.
* Det centrale niveau: Afslutningen af high-speed transmission og udveksle oplysninger for at opnå interoperabilitet med andre net.
Hertil kommer, bredbånd IP MAN igen logisk sikker anvendelse platform arkitektur er opdelt i to niveauer, nemlig bredbånd IP MAN fly og intelligent sikkerhed application management plan, vist i Figur 2.
Figur 2 de to fly
Er det ikke en simpel superposition af to fly, men supplerende, koordinering og økologisk kombinere til at danne en komplet og samlet kan styre, lede, drive bredbånd IP MAN.
· IP bredbånd MAN fly: den vigtigste form fra de traditionelle IP bredbånd Metropolitan Area network til at levere bredbånd IP MAN brugeradgang, information lastning og udveksling af tjenesteydelser, og slut af med andre post-sammenkobling netværk og internettet er en bredbåndsforbindelse IP MAN hjørnestenen i sikkerhed ansøgninger platform.
* Intelligent Application Management plan sikkerhed: PKI og PMI, der bygger på tillid og godkendt intelligens teknologi, opbygge et pålideligt netværk miljø og levere sikre og pålidelige netværksudstyr og brugeradgang, information transmission og udveksling, business management services, IP Bredbånd Metropolitan Area Network sikkerhed er en central ansøgning platform.
3,2 sikkerhed applikationer og løsninger
Gennem anvendelse af informations-sikkerhedsinfrastruktur baseret på nationale forskningscentre med uafhængige intellektuelle ejendomsrettigheder PKI / PMI tillid og godkendt intelligens platform-teknologi, at bygge troværdighed IP bredbånd MAN netværk, ved hjælp af det digitale certifikat tilgang til at indse IP Bredbånd City area network brugergodkendelse og godkendelse.
Hovedidéen præsenteres for brugeren PKC (herunder dine personlige oplysninger, såsom serienummer, IP-adresse, MAC-adresse og andre oplysninger) og AC (herunder brugerens attribut oplysninger, såsom den rolle, adgangskontrol tilladelser osv.). I "én enhed," én licens basis af det unikke ved PKC, og præcist at identificere brugeren identitet. Ved kontrollerbare skifte havn adgang autentificering og certificering forvaltning baggrund kan certifikatet med havnen (det kan også omfatte IP-adresse) til at etablere fleksible korrespondance, og afgøre, om brugeren kan få adgang til bredbånd IP MAN, Samtidig giver adgang til trafik, varighed, tid og andre statistikker, og brugeren rettigheder i henhold til AC, når den lange, fakturering og anden ejendom forvaltning. Denne fleksibilitet gennem certifikater og havn bindende, til at bygge en havn på certifikatet og IP Bredbånd Metropolitan Area Network sikkerhed ledelsesmodel, svarende til PSTN line-management model.
Hertil kommer, indlejrede offentlige nøgle digitale certifikat identifikationskode i en fysisk enhed (materiale bærere af digitale certifikater), anvendelse af USB interfaces. Autentifikation af enheder password for hver enhed og en PIN-kode beskyttelse, succession af flere forgæves PIN input, vil virksomheden enheden identifikationskode automatisk låses, hvilket gør virksomheden enheden identifikationskode er meget vanskeligt at gennemføre ordbog angreb, så det kun er enheder på samme tid være Identificering koden og en tilhørende PIN-kode for at udgøre som legitime brugere, denne godkendelse brugernavnet end den current simple måde at add PIN-kode er mere sikkert, mere effektiv identification af net brugere adgang til juridisk personlighed, forebyggelse af falskmøntneri.
I den specifikke implementering, bredbånd gennem intelligent anvendelse forvaltningen plan sikkerhed IP MAN at implementere og forvalte sikkerhedsprogrammer, hele flyet, herunder tillid og autoriserede efterretningstjeneste support platform, netværk og ledelse platform for betroede domæne og integrerede virksomhedsløsninger management platform af tre dele .
Tillid og godkendelse tjenester, som støtter platform kernen af platformen vedtaget af virksomhedens PKC, AC godkendelse, autorisation og forvaltning for at skabe en fælles IP bredbånd storbyområde netværk baseret intelligent atmosfære af tillid og autoritet, den tillid domæne for netværket management platform og integreret business application management platform til at give pålidelig, sikker service.
Network management platform betroede domæne og enheder på netværket ledelse at sikre, at kun betroede enheder, der har udstedt det digitale certifikat for virksomheden kan være en effektiv adgang netværk.
Integreret virksomhedsledelse direkte til brugeren, tillid og autoritet inden for intelligent service platform til at give IP bredbånd brugercertifikater, udstyr certifikater og bruger attribut, der er baseret på brugerens fakturering, business management.
3.2.1 Intelligent støtte platform af tillid og godkendelse service
Anvendelse af PKI / PMI System support platform af tillid og godkendelse tjenester til IP bredbånd storbyområde netværk til at få betroede og godkendelse tjenester. Platform gennem enheder PKC, AC godkendelse, tilladelse og ledelse skabe en fælles basis for intelligent atmosfære af tillid og autoritet, der er etableret "en enhed en licens, samlet certificering, distribueret sekventiel styring" bredbånd IP MAN netdrift og forvaltning mode.
Den såkaldte "forenet certificering" forstås: en tredjepart certifikatgodkendelse center (CA) udstedt af certificeringsorganet er ansvarlig for foreningen af bredbånd IP MAN brugere, udstyr PKC, der er godkendt af tillid og støtte tjenester, en samlet platform til at give AC og opnå certifikat, der udstedes samlet ledelse, sikre netværk tillid domænestyring tjenester. Den "Distributed sekventielle administration": den netværksdomæne tillid forvaltning i overensstemmelse med den reelle rækkevidde af ansvar og at dele sig, hver by eller storbyområde IP bredbånd systemer kan også være det grundlæggende type af tillid brugerens domæne (f.eks skelne normal Home brugere, store kunder, etc.), den grundlæggende tillid hvert domæne har sit eget management system er ansvarlig for den betroede domænestyring, netværk management system for den tillid domæne tillid og godkendelse tjenester gennem støtte platform af tillid og autoritet til at yde service support. Denne model har ansvaret for at opbygge en klar, let styring, system-dækkende net af betroede domæner og styringssystem.
(1) Operationel System Certifikat
Forretningsservice Certificate Key Management System (KM) er baseret på vedtagelsen af CA, registreringscertifikat revision (RA) og andre programmer til at levere digitale certifikater, revisionsydelser.
(2) bevis check verifikation service system
Forespørgsel certificering tjenester for erhvervskunder application management platform til at give den certifikatgodkendelse service, herunder nummeroplysningstjenester og certifikater online nummeroplysningen. Forespørgsel autentificering service Systemet omfatter Lightweight Directory Access Protocol (LDAP) server og Online Certificate Status Protocol (OCSP) server til at give, herunder forskellige typer af certifikater udstedt, liste over tilbagekaldte certifikater (CRL) udgivelse og online certifikat status check service.
(3) tilladelse til service system
PMI i business service baseret på certifikatet, for autoriserede brugere og applikationer forvaltning og ressource management services, primært ansvarlig for anvendelsen systemer og applikationer til godkendte tjenester related til forvaltningen over brugernes identitet til provide tilladelse til anvendelse af kortlægning funktion.
(4), betroede tidsstempel service system
Trusted tidsstempel service er baseret på det tidspunkt kilde til statslig myndighed og offentlige nøgleteknologier, business applikationer til sikringsstyringssystem giver præcise og pålidelige tidsstempel for at sikre behandlingen af data existence på et bestemt tidspunkt og relative tid sekvens tilhørende operationer for erhvervslivet håndtering uafviselighed og muligheder for at kontrollere at yde effektiv støtte. Trusted tidsstempel service system fra det tidspunkt, hvor kilden til statens myndighed og hele systemet enhed af tid, fra de nationale Time servicecenter for at få myndighederne i den tid.
(5) grundlæggende sikring system
Grundlæggende sikkerhed Systemet består af firewalls, intrusion detection systemer, sårbarhed scanning systemer, sikkerhed revision, virus forebyggende systemer, Web informationssystemer, sikret mod manipulation sammensætning, dannelsen af en all round baggrund af den grundlæggende sikkerhed barriere.
(6) Recovery og Disaster Recovery System
Katastrofegendannelse og backup-systemer omfatter: dual-key udstyr til det lokale system backup og varmt backup af vigtige data på den kolde og fjerntliggende disaster recovery center bygning.
3.2.2 Netværk Domæne og tillid management platform
Kritisk udstyr, er det vigtigt, terminal og bruger vedtagelse "af en enhed af et certifikat" betyder at opbygge tillid i netværket domæner, herunder troværdighed netadgang, sikkerhed, netværk kommunikation og tillid management services.
Troværdig gennemførelse af netadgang autentificering teknologi til Ethernet-baserede adgang funktion ved hjælp af PKI digitalt certifikat teknologi, baseret på IEEE 802.1x-standarden, støtte til X.509-certifikater gennem adgang authentication certifikater, der nå havnebaseret adgangskontrol.
Sikker kommunikation netværk baseret på IP kryptering gateway til at opnå, som er baseret på IPSec-protokollen ved hjælp af PKI-teknologien for net udveksling af oplysninger mellem betroede domæner at sikre en sikker og pålidelig adgang.
Network Management System er hovedansvarlig for den tillid domæne tillid i netværket bruger data og netværk forvaltning, og kort-typen CPE placering forvaltning, tilstandsovervågning, fjernbetjening parameter configuration management, mens indsamling forskellige typer af kunders adgang godkendelse skifte indsamling IP business databehandling, herunder brugerens havn oplysninger, IP-service ved hjælp af datastrømmen og anvendelse af oplysninger om tid.
3.2.3 Integreret Business Management Platform
Integreret business management platform direkte til brugerne, herunder business management, kundestyring, fakturering ledelse, netværk ressourceforvaltning, systemsikkerhed forvaltning, systemvedligeholdelse og ledelse, udvikling af nye virksomheder og ledelse, knowledge management afdeling. Integreret business management platform kan sammenfattes som tre lag abstraktion: data lag, business process lag, applikationslaget.
Datalagring lag af hovedformålene med ordningen data, herunder certifikatet data, enheden data, centrale datasystem data tre kategorier.
Business behandling lag forretningslogik behandling, er den proces, indkapslet i separate moduler i systemet ved at planlægge modulerne samlet virksomhed fungerer i forskellige inter-modul opkald.
Applikationslaget er kundeorienterede vinduer, en bred vifte af IP bredbånd ansøgninger om value-added services give brugerne af havnene, og i erhvervslivet Chu Li lag i sidste ende opnå ret 各类 virksomhed håndteringen af data lag for baggrunden lag til at give tilsvarende forretningsprocesser System datatjenester.
3,3 brugere på offline-processen
I denne ordning, at en bruger har bredbånd tjene de skal med et gyldigt ID til luftfartsforetagendets virksomhed, der modtager kontor for ansøgningsprocessen digitale certifikat, digitalt certifikat ansøgningen godkendes, som sælgerne til at distribuere Yonghu en enhed password identifikationsteknik Ji en IP-adresse, og skal en adgangskode kuvert, der indeholder den enhed password identifikationsteknik serienummer og adgangskode, således at brugerne anvender virksomhedens succes. Derefter brugerens PC, hvor det er nødvendigt at installere Internet login procedure, og konfigurere tildeling af IP-adresser, så gør adgangen præparater. Brug for internetadgang, brugeren identifikationsteknik plug enheder adgangskode, start login procedure, skal du indtaste den enhed kode, som identificerer serienummer og adgangskode, så adgang til kontakt og tillid authentication tjenester til støtte for platform med den autoriserede bruger digitale certifikat-baseret autentificering, certificering efter passage af brugeren kan nyde bredbåndstjenester, ikke bestået, med forbud mod brugeradgang. Under den regelmæssige internetbrugere, periodisk adgang autentificering identifikation af switch sender password til den enhed, den anmodning om certifikat, og virksomheden enheden identifikationskode at gøre ægthedscertifikat at uploade for at sikre lovligheden af Internet-brugere.
Når brugere offline normal, den første certificerede af login-processen for adgang skifte for at sende anmodningen offline, offline adgang authentication anmodning modtaget efter kontakten, at brugeren sender et svar på resultaterne, og at støtte platform af tillid og tilladelse service pakke til at sende ud samlebåndet og lukkede porte. Når brugeren, når ikke-normal offline (f.eks adgangstilladelser direkte tag enhed identifikatorer, off eller trække netværkskabel, etc.), vil få adgang til autentificering skifte tage initiativ til at opdage tilfælde (på grund af udvekslingen regelmæssigt besøger godkendelse password til virksomheden enheden identifikation Send anmodning om certifikat), derefter til støtte platform af tillid og godkendelse service pakke og lukkede porten for at sende ud samlebånd, men resultatet ikke sende et svar til brugeren.
4 Konklusion
Projektet er baseret på Shenzhen Telecom IP MAN foretaget en vis mængde rettergang og 20 Marts 2003 arrangeret af Ministeriet for Videnskab og ekspert inspektion.
Er værd at bemærke, at bruge dette projekt som certifikater og attribut certifikater, kan nemt sikker godkendelse af brugernes identitet, bruger value-added services vil blive registreret i attributten certifikat tilfælde, at tage fat på anvendelsen af informationsteknologisk sikkerhed, fakturering etc. spørgsmål såsom autentificering, forudbetalte gebyrer for value-added services til at skabe gode betingelser for lancering.